Cómo gestionar tu primera alerta como SOC ANALYST

En qué consiste el trabajo de un SOC analyst.

Como Analista de Seguridad, el trabajo consiste en monitorizar continuamente la infraestructura de seguridad de una organización utilizando herramientas como SIEM (Sistema de Gestión de Eventos e Información de Seguridad), IDS (Sistema de Detección de Intrusos), IPS (Sistema de Prevención de Intrusos) o XDR (Detección y Respuesta Extendidas).

Analiza patrones de tráfico, registros y alertas generadas por sistemas de seguridad para identificar posibles incidentes.

Cuando se detecta una amenaza en la empresa, el analista investiga su naturaleza, alcance y método de infiltración. Utiliza herramientas forenses y técnicas de análisis para comprender la táctica empleada y evaluar el impacto potencial.

Normalmente, el analista de seguridad trabaja en un SOC (Centro de Operaciones de Seguridad).

Tipos de alertas más comunes en un SOC

Las alertas de seguridad pueden clasificarse en varias categorías en función de su origen, el objetivo del ataque y su impacto potencial en la organización.

A continuación, voy a detallarte las más frecuentes.

1. Phishing

El phishing es uno de los ataques más comunes y efectivos utilizados por los ciberdelincuentes. Consiste en el envío de correos electrónicos fraudulentos que suplantan la identidad de una entidad legítima con el fin de:

• Robar credenciales de acceso, como nombres de usuario y contraseñas.
• Distribuir malware, incluyendo troyanos y ransomware.
• Engañar a los usuarios para realizar transferencias de dinero o compartir información confidencial.

Los correos de phishing suelen incluir enlaces maliciosos que redirigen a páginas falsas o archivos adjuntos infectados. Algunas señales de alerta en estos correos incluyen:

• Remitente desconocido o dirección de correo sospechosa.
• Urgencia en el mensaje, como «Su cuenta ha sido comprometida» o «Es necesario verificar su información, haz click aquí para proteger su cuenta».
• Enlaces acortados o URLs que imitan dominios legítimos, por ejemplo, paypal.com o paypaI.com. En el primer ejemplo, tenemos paypal bien escrito, en el segundo, utilizamos una i latina mayúscula, en vez de una L. Confundiendo así a la persona que recibe el correo.

El phishing es una amenaza constante porque depende del factor humano, y su detección y mitigación son esenciales en cualquier SOC.

2. Intentos de acceso no autorizado

Los accesos no autorizados pueden ocurrir cuando un atacante intenta ingresar a un sistema utilizando credenciales comprometidas o mediante ataques de fuerza bruta. Estas alertas pueden generarse cuando se detectan:

• Múltiples intentos fallidos de inicio de sesión en un corto período de tiempo.
• Accesos exitosos desde ubicaciones geográficas inusuales.
• Uso de credenciales comprometidas extraídas de bases de datos filtradas en la dark web.
• Intentos de autenticación con métodos obsoletos o inseguros (por ejemplo, sin MFA habilitado).
• Acceso en una misma cuenta desde 2 ubicaciones distintas. No es posible que un mismo usuario se conecte desde Japón y al mismo tiempo desde España.

Un analista de SOC debe revisar logs de autenticación en herramientas como SIEM y correlacionar eventos para determinar si se trata de un ataque o simplemente de un usuario legítimo que olvidó su contraseña o algo similar

3. Actividad maliciosa en endpoints

Las amenazas en endpoints incluyen cualquier actividad sospechosa en equipos de usuario, servidores o dispositivos conectados a la red. Algunos indicadores de actividad maliciosa son:

• Ejecución de archivos desconocidos o sospechosos.
• Uso de scripts en PowerShell, Python o Bash sin justificación aparente.
• Creación o modificación de archivos en directorios críticos del sistema.
• Presencia de malware en memoria sin archivos asociados.

Las herramientas EDR (Endpoint Detection and Response) permiten a los analistas de SOC monitorizar y responder a actividad maliciosa en los endpoints en tiempo real.

Un EDR registra eventos como procesos ejecutados, conexiones de red y modificaciones en archivos del sistema, permitiendo detectar patrones sospechosos y responder de forma automatizada o manual.

En algunos casos, los eventos recopilados por el EDR pueden enviarse a un SIEM, que los correlaciona con otras fuentes de datos para proporcionar una visión más amplia de los incidentes de seguridad.

Básicamente, para que nos entendamos, un EDR en muchas ocasiones es un antivirus con esteroides.

Pero, ¿En qué se diferencia un EDR de un antivirus tradicional?

• Detección basada en comportamiento:
  • Un antivirus tradicional se basa principalmente en firmas (hashes de malware conocido).
  • Un EDR usa detección basada en comportamiento, lo que le permite identificar amenazas nuevas o avanzadas, como ataques sin archivos (fileless attacks).
• Monitorización y respuesta en tiempo real:
  • Un antivirus solo escanea archivos en busca de amenazas.
  • Un EDR monitoriza toda la actividad del endpoint (procesos, conexiones de red, cambios en archivos, etc.) en tiempo real y puede tomar medidas automatizadas, como aislar un dispositivo comprometido.
• Capacidades forenses y telemetría:
  • Un antivirus detecta y elimina amenazas, pero no proporciona un historial detallado de lo que ocurrió.
  • Un EDR almacena eventos para análisis forense, permitiendo a los analistas investigar ataques, ver la línea de tiempo de los eventos y responder de manera más efectiva.

4. Tráfico anómalo en la red

El análisis del tráfico de red es crucial para detectar ataques en etapas tempranas. Algunas señales de tráfico anómalo incluyen:

• Conexiones a direcciones IP maliciosas o servidores de command and control (C2).
• Extracción masiva de datos desde servidores internos.
• Uso de protocolos o puertos inusuales en la comunicación de red.
• Patrones de escaneo de red que podrían indicar reconocimiento previo a un ataque.

Los analistas utilizan herramientas como firewalls, IDS/IPS y SIEM para identificar este tipo de actividad y tomar medidas de contención.

Estos son algunos de los tipos de alertas más comunes en un SOC. En este video, nos centraremos en la gestión de una alerta de phishing, ya que es una de las amenazas más frecuentes y suele ser el punto de entrada para ataques más sofisticados. Ahora vamos al PC donde analizaremos una alerta de phishing paso a paso.

Cómo gestionar un phishing en un SOC

Aquí te dejo el tutorial para que aprendas a gestionar tu primera alerta del SOC desde el absoluto 0.